Publicado em: 7 de novembro de 2011
Um grande ataque de envenenamento de cache DNS está ocorrendo atualmente no Brasil, potencialmente afetando milhões de usuários. A tática empregada força os usuários a instalarem um applet Java malicioso antes de acessarem muitos sites populares, incluindo Google, Gmail e Hotmail.
O ataque está em andamento há algum tempo, dizem os pesquisadores, e os efeitos podem ser bastante abrangentes, dada a gravidade do problema. Vários grandes provedores de serviços de Internet no país altamente conectado foram afetados pelo ataque, e a polícia fez pelo menos uma prisão relacionada à operação. Uma análise do ataque feita por Fabio Assolini, um pesquisador da Kaspersky Lab no Brasil, mostra que os invasores conseguiram envenenar os registros de cache DNS de vários sites importantes em alguns dos grandes provedores de serviços de Internet.
Assim, quando os usuários tentam se conectar a um site como o Google por meio de um dos provedores afetados, são redirecionados para um site que insiste na instalação de um pequeno applet Java para continuar. Esse applet, é claro, é malware. Especificamente, na maioria dos casos, é um Trojan bancário, que é, de longe, a arma de escolha para os atacantes brasileiros. O endereço IP usado para hospedar o exploit inclui uma série de outros exploits também, como arquivos que tentam explorar vulnerabilidades em versões mais antigas do Java, uma tática comum para downloads automáticos.
"Ele pede ao cliente para baixar e instalar o chamado software 'Google Defense' necessário para usar o mecanismo de busca. Na realidade, no entanto, este arquivo é um Trojan bancário detectado pelo motor heurístico da Kaspersky. Pesquisas sobre este IP destacaram vários arquivos maliciosos e exploits hospedados lá", escreveu Assolini em sua análise do ataque de envenenamento de cache.
Assolini afirmou que todas as infecções vistas neste ataque específico ocorreram no Brasil. Ele acrescentou que algumas empresas no país também relataram que seus roteadores e dispositivos de rede interna foram comprometidos, e os invasores modificaram as configurações do DNS para forçar os usuários a visitarem sites maliciosos.
Ataques de envenenamento de cache DNS têm ocorrido há muito tempo, tanto em ataques menores e direcionados quanto em ataques mais amplos contra grandes provedores de serviços de Internet. Eles eram mais prevalentes alguns anos atrás, mas ainda acontecem de tempos em tempos. Eles podem ser executados de várias maneiras, mas o método mais simples é um insider malicioso que tem acesso aos registros DNS em um provedor de serviços de Internet ou empresa grande entrar e alterar o registro para apontar para o site malicioso desejado.
O Brasil tem quase 76 milhões de usuários de Internet, ocupando atualmente a quinta posição no mundo.
0 Comentários